Mở rộng nhân bằng eBPF

Bộ lọc gói Berkeley mở rộng (eBPF) là một máy ảo trong nhân hệ điều hành chạy các chương trình eBPF do người dùng cung cấp để mở rộng chức năng của nhân. Các chương trình này có thể bị kết nối với các đầu dò hoặc sự kiện trong nhân, đồng thời dùng để thu thập số liệu thống kê hữu ích về hạt nhân, giám sát và gỡ lỗi. Một chương trình được tải vào nhân hệ điều hành bằng lệnh gọi hệ thống bpf(2) và được người dùng cung cấp dưới dạng blob nhị phân của hướng dẫn máy eBPF. Hệ thống xây dựng Android hỗ trợ biên dịch các chương trình C sang eBPF bằng cú pháp tệp bản dựng đơn giản được mô tả trong tài liệu này.

Bạn có thể xem thêm thông tin về cấu trúc và nội bộ eBPF tại trang eBPF của Brendan Gregg.

Android bao gồm trình tải và thư viện eBPF tải các chương trình eBPF vào thời điểm khởi động.

Trình tải BPF Android

Trong quá trình khởi động Android, tất cả các chương trình eBPF nằm tại /system/etc/bpf/ sẽ được tải. Các chương trình này là đối tượng nhị phân do hệ thống xây dựng Android tạo ra từ các chương trình C và đi kèm với các tệp Android.bp trong cây nguồn Android. Hệ thống xây dựng lưu trữ các đối tượng được tạo tại /system/etc/bpf và các đối tượng đó trở thành một phần của hình ảnh hệ thống.

Định dạng của chương trình C eBPF trên Android

Chương trình eBPF C phải có định dạng sau:

#include <bpf_helpers.h>

/* Define one or more maps in the maps section, for example
 * define a map of type array int -> uint32_t, with 10 entries
 */
DEFINE_BPF_MAP(name_of_my_map, ARRAY, int, uint32_t, 10);

/* this also defines type-safe accessors:
 *   value * bpf_name_of_my_map_lookup_elem(&key);
 *   int bpf_name_of_my_map_update_elem(&key, &value, flags);
 *   int bpf_name_of_my_map_delete_elem(&key);
 * as such it is heavily suggested to use lowercase *_map names.
 * Also note that due to compiler deficiencies you cannot use a type
 * of 'struct foo' but must instead use just 'foo'.  As such structs
 * must not be defined as 'struct foo {}' and must instead be
 * 'typedef struct {} foo'.
 */

DEFINE_BPF_PROG("PROGTYPE/PROGNAME", AID_*, AID_*, PROGFUNC)(..args..) {
   <body-of-code
    ... read or write to MY_MAPNAME
    ... do other things
   >
}

LICENSE("GPL"); // or other license

Trong trường hợp:

• name_of_my_map là tên của biến bản đồ. Tên này cho trình tải BPF biết loại bản đồ cần tạo và với những tham số nào. Định nghĩa cấu trúc này do tiêu đề bpf_helpers.h đi kèm cung cấp.

• PROGTYPE/PROGNAME đại diện cho loại chương trình và tên chương trình. Loại chương trình có thể là bất kỳ loại nào được liệt kê trong bảng sau. Khi một loại chương trình không được liệt kê, sẽ không có quy ước đặt tên nghiêm ngặt cho chương trình đó; quy trình đính kèm chương trình chỉ cần biết tên.

• PROGFUNC là một hàm được đặt trong một phần của tệp kết quả khi được biên dịch.

kprobe	Gắn PROGFUNC vào một hướng dẫn hạt nhân bằng cơ sở hạ tầng kprobe. PROGNAME phải là tên của hàm hạt nhân đang được kprobe. Hãy tham khảo tài liệu về hạt nhân kprobe để biết thêm thông tin về kprobe.
điểm theo dõi	Gắn PROGFUNC vào một điểm theo dõi. PROGNAME phải ở định dạng SUBSYSTEM/EVENT. Ví dụ: một phần điểm theo dõi để đính kèm các hàm vào sự kiện chuyển đổi ngữ cảnh của trình lập lịch biểu sẽ là SEC("tracepoint/sched/sched_switch"), trong đó sched là tên của hệ thống con theo dõi và sched_switch là tên của sự kiện theo dõi. Hãy xem tài liệu về nhân sự kiện theo dõi để biết thêm thông tin về các điểm theo dõi.
skfilter	Chương trình hoạt động như một bộ lọc ổ cắm mạng.
schingcl	Chương trình hoạt động như một bộ phân loại lưu lượng truy cập mạng.
cgroupskb, cgroupsock	Chương trình chạy bất cứ khi nào các quy trình trong CGroup tạo một ổ cắm AF_INET hoặc AF_INET6.

Bạn có thể tìm thấy các loại khác trong mã nguồn của Trình tải.

Ví dụ: chương trình myschedtp.c sau đây thêm thông tin về PID tác vụ mới nhất đã chạy trên một CPU cụ thể. Chương trình này đạt được mục tiêu bằng cách tạo một bản đồ và xác định một hàm tp_sched_switch có thể được đính kèm vào sự kiện theo dõi sched:sched_switch. Để biết thêm thông tin, hãy xem phần Gắn chương trình vào điểm theo dõi.

#include <linux/bpf.h>
#include <stdbool.h>
#include <stdint.h>
#include <bpf_helpers.h>

DEFINE_BPF_MAP(cpu_pid_map, ARRAY, int, uint32_t, 1024);

struct switch_args {
    unsigned long long ignore;
    char prev_comm[16];
    int prev_pid;
    int prev_prio;
    long long prev_state;
    char next_comm[16];
    int next_pid;
    int next_prio;
};

DEFINE_BPF_PROG("tracepoint/sched/sched_switch", AID_ROOT, AID_SYSTEM, tp_sched_switch)
(struct switch_args *args) {
    int key;
    uint32_t val;

    key = bpf_get_smp_processor_id();
    val = args->next_pid;

    bpf_cpu_pid_map_update_elem(&key, &val, BPF_ANY);
    return 1; // return 1 to avoid blocking simpleperf from receiving events
}

LICENSE("GPL");

Macro LICENSE được dùng để xác minh xem chương trình có tương thích với giấy phép của nhân hệ điều hành hay không khi chương trình sử dụng các hàm trợ giúp BPF do nhân cung cấp. Chỉ định tên giấy phép của chương trình ở dạng chuỗi, chẳng hạn như LICENSE("GPL") hoặc LICENSE("Apache 2.0").

Định dạng của tệp Android.bp

Để hệ thống xây dựng Android tạo một chương trình .c eBPF, bạn phải tạo một mục trong tệp Android.bp của dự án. Ví dụ: để tạo một chương trình C eBPF có tên là bpf_test.c, hãy tạo mục nhập sau trong tệp Android.bp của dự án:

bpf {
    name: "bpf_test.o",
    srcs: ["bpf_test.c"],
    cflags: [
        "-Wall",
        "-Werror",
    ],
}

Mục nhập này biên dịch chương trình C dẫn đến đối tượng /system/etc/bpf/bpf_test.o. Khi khởi động, hệ thống Android sẽ tự động tải chương trình bpf_test.o vào hạt nhân.

Các tệp có trong sysfs

Trong quá trình khởi động, hệ thống Android sẽ tự động tải tất cả đối tượng eBPF từ /system/etc/bpf/, tạo các bản đồ mà chương trình cần và ghim chương trình đã tải cùng với các bản đồ của chương trình vào hệ thống tệp BPF. Sau đó, bạn có thể sử dụng các tệp này để tương tác thêm với chương trình eBPF hoặc đọc bản đồ. Phần này mô tả các quy ước dùng để đặt tên cho các tệp này và vị trí của các tệp đó trong sysfs.

Các tệp sau đây sẽ được tạo và ghim:

• Đối với mọi chương trình được tải, giả sử PROGNAME là tên của chương trình và FILENAME là tên của tệp C eBPF, trình tải Android sẽ tạo và ghim từng chương trình tại /sys/fs/bpf/prog_FILENAME_PROGTYPE_PROGNAME.

  Ví dụ: đối với ví dụ về điểm theo dõi sched_switch trước đó trong myschedtp.c, một tệp chương trình sẽ được tạo và ghim vào /sys/fs/bpf/prog_myschedtp_tracepoint_sched_sched_switch.

• Đối với mọi bản đồ được tạo, giả sử MAPNAME là tên của bản đồ và FILENAME là tên của tệp eBPF C, thì trình tải Android sẽ tạo và ghim từng bản đồ vào /sys/fs/bpf/map_FILENAME_MAPNAME.

  Ví dụ: đối với ví dụ về điểm theo dõi sched_switch trước đó trong myschedtp.c, một tệp bản đồ sẽ được tạo và ghim vào /sys/fs/bpf/map_myschedtp_cpu_pid_map.

• bpf_obj_get() trong thư viện BPF của Android trả về một chỉ số mô tả tệp từ tệp /sys/fs/bpf được ghim. Bạn có thể sử dụng chỉ số mô tả tệp này cho các thao tác khác, chẳng hạn như đọc bản đồ hoặc đính kèm một chương trình vào một điểm theo dõi.

Thư viện BPF của Android

Thư viện BPF Android có tên là libbpf_android.so và là một phần của hình ảnh hệ thống. Thư viện này cung cấp cho người dùng các chức năng eBPF cấp thấp cần thiết để tạo và đọc bản đồ, tạo đầu dò, điểm theo dõi và vùng đệm hiệu suất.

Đính kèm chương trình vào các điểm theo dõi

Các chương trình điểm theo dõi được tải tự động khi khởi động. Sau khi tải, bạn phải kích hoạt chương trình điểm theo dõi bằng các bước sau:

1. Gọi bpf_obj_get() để lấy chương trình fd từ vị trí của tệp được ghim. Để biết thêm thông tin, hãy tham khảo Các tệp có trong sysfs.
2. Gọi bpf_attach_tracepoint() trong thư viện BPF, truyền vào chương trình fd và tên điểm theo dõi.

Mã mẫu sau đây cho biết cách đính kèm điểm theo dõi sched_switch được xác định trong tệp nguồn myschedtp.c trước đó (không hiển thị tính năng kiểm tra lỗi):

  char *tp_prog_path = "/sys/fs/bpf/prog_myschedtp_tracepoint_sched_sched_switch";
  char *tp_map_path = "/sys/fs/bpf/map_myschedtp_cpu_pid";

  // Attach tracepoint and wait for 4 seconds
  int mProgFd = bpf_obj_get(tp_prog_path);
  int mMapFd = bpf_obj_get(tp_map_path);
  int ret = bpf_attach_tracepoint(mProgFd, "sched", "sched_switch");
  sleep(4);

  // Read the map to find the last PID that ran on CPU 0
  android::bpf::BpfMap<int, int> myMap(mMapFd);
  printf("last PID running on CPU %d is %d\n", 0, myMap.readValue(0));

Đọc từ bản đồ

Bản đồ BPF hỗ trợ các kiểu hoặc cấu trúc giá trị và khoá phức tạp tuỳ ý. Thư viện BPF của Android bao gồm một lớp android::BpfMap sử dụng các mẫu C++ để tạo bản sao BpfMap dựa trên loại khoá và giá trị cho bản đồ có liên quan. Mã mẫu trước đó minh hoạ cách sử dụng BpfMap với khoá và giá trị là số nguyên. Số nguyên cũng có thể là cấu trúc tuỳ ý.

Do đó, lớp BpfMap được tạo mẫu cho phép bạn xác định một đối tượng BpfMap tuỳ chỉnh phù hợp với bản đồ cụ thể. Sau đó, bạn có thể truy cập vào bản đồ bằng các hàm được tạo tuỳ chỉnh, các hàm này nhận biết được loại dữ liệu, nhờ đó tạo ra mã gọn gàng hơn.

Để biết thêm thông tin về BpfMap, hãy tham khảo nguồn Android.

Khắc phục vấn đề

Trong thời gian khởi động, một số thông báo liên quan đến việc tải BPF sẽ được ghi lại. Nếu quá trình tải không thành công vì bất kỳ lý do gì, thì thông điệp nhật ký chi tiết sẽ được cung cấp trong logcat. Việc lọc nhật ký logcat theo bpf sẽ in tất cả thông báo và mọi lỗi chi tiết trong thời gian tải, chẳng hạn như lỗi trình xác minh eBPF.

Ví dụ về eBPF trong Android

Các chương trình sau đây trong AOSP cung cấp thêm ví dụ về cách sử dụng eBPF:

• netd chương trình C eBPF được trình nền mạng (netd) trong Android sử dụng cho nhiều mục đích, chẳng hạn như lọc ổ cắm và thu thập số liệu thống kê. Để xem cách sử dụng chương trình này, hãy kiểm tra các nguồn trình giám sát lưu lượng truy cập eBPF.

• time_in_state Chương trình eBPF C tính toán khoảng thời gian một ứng dụng Android dành cho các tần số CPU khác nhau, được dùng để tính năng lượng.

• Trong Android 12, chương trình eBPF C gpu_mem theo dõi tổng mức sử dụng bộ nhớ GPU cho mỗi quy trình và cho toàn bộ hệ thống. Chương trình này được dùng để lập hồ sơ bộ nhớ GPU.